Azure Web Application Firewall (WAF) の一般提供を開始

  • Article

執筆者: Yousef Khalidi (CVP, Azure Networking)

このポストは、3 月 30 日に投稿された Azure Web Application Firewall (WAF) Generally Available の翻訳です。

 

マイクロソフトは昨年 9 月の Ignite カンファレンスで、Web アプリケーションのセキュリティ強化に関する発表を行いました。レイヤー 7 の Azure Application Gateway サービスに Web Application Firewall (WAF) を追加するというものでしたが、このたびすべての Azure パブリック リージョンで WAF の一般提供が開始されました。

Web アプリケーションはますます攻撃の対象になりやすくなっています。既知の脆弱性を悪用したものが多数ですが、よくあるのは SQL インジェクション攻撃やクロス サイト スクリプティング攻撃などです。アプリケーション側でこのような攻撃を防ぐことは難しいため、厳格な保守や修正ファイルの適用、アプリケーション トポロジを複数のレイヤーで監視することが必要になってきますが、WAF を一元化すると、Web 攻撃に対する保護が強化され、セキュリティの管理がはるかに容易になります。アプリケーションに手を加えることなく、攻撃の脅威や不正侵入からアプリケーションとコンプライアンスをより確実に保護できます。

Azure Application Gateway はアプリケーション配信コントローラー (ADC) としてレイヤー 7 ネットワーク サービスを提供するもので、SSL ターミネーション、真のラウンド ロビン負荷分散、Cookie ベースのセッション アフィニティ、マルチサイト ホスティング、URL パス ベースのルーティングといった機能が用意されています。Application Gateway では、SSL ポリシーの構成とエンドツーエンドの SSL 暗号化がサポートされており、アプリケーションのセキュリティをさらに強化できます。これらの機能を利用すると、暗号化/暗号化解除、SSL ポリシー、負荷分散といったコストのかかる処理を Application Gateway に任せて、バックエンド アプリケーションを主要なビジネス ロジックに集中させることができます。Application Gateway の中核部分に統合されている WAF は、セキュリティ ポートフォリオをさらに強固なものにするほか、Open Web Application Security Project (OWASP) の脆弱性トップ 10 (英語) に載るような最も一般的な Web の脆弱性からアプリケーションを保護するための構成を強化します。Application Gateway の WAF には、それらの脆弱性に対して基本的なセキュリティを維持するための WASP ModSecurity Core Rule Set (3.0 または 2.2.9) が事前構成されています。構成と管理が容易なうえ、豊富なログ機能を利用でき、ルールを選択的に有効化できます。

メリット

WAF の主なメリットは次のとおりです。

保護

  • バックエンド コードを変更しなくても、アプリケーションを Web の脆弱性や攻撃から保護できます。以下のようなさまざまな脆弱性や攻撃に対処できます。
    • SQL インジェクション
    • クロス サイト スクリプティング
    • 一般的な攻撃 (コマンド インジェクション、HTTP 要求スマグリング、HTTP レスポンス スプリッティング、リモート ファイル インクルード攻撃など)
    • HTTP プロトコル違反
    • HTTP プロトコル異常
    • ボット、クローラー、スキャナー
    • 一般的なアプリケーション構成ミス (Apache、IIS など)
    • HTTP DoS
  • 複数の Web アプリケーションを同時に保護できます。Application Gateway は、1 つのゲートウェイの内側で最大 20 個の Web サイトをホスティングし、そのすべてを Web 攻撃から保護します。

WAF - App Gateway

使いやすい

  • Application Gateway WAF は、Azure ポータルと REST API で簡単に構成、デプロイ、管理できます。PowerShell と CLI については間もなくサポートされる予定です。
  • 管理者は WAF のルールを一元的に管理できます。
  • 既存の Application Gateway を利用している場合は、簡単にアップグレードして WAF を追加できます。Application Gateway の機能は保持したまま、WAF の機能を追加できます。

監視

  • Application Gateway WAF では、Azure Monitor と統合されているリアルタイムの WAF のログを使用して Web アプリケーションに対する攻撃を監視し、WAF アラートを追跡したり、簡単に傾向を監視したりできます。JSON 形式のログは、直接ユーザーのストレージ アカウントに記録されます。ユーザーはこれらのログを詳細に制御でき、独自の保持ポリシーを適用できます。また、これらのログを独自の分析システムに取り込むことも可能です。WAF のログは Operations Management Suite (OMS) とも統合されているため、OMS のログ分析機能を使用すれば、高度で詳細なクエリを実行できます。

WAF - Access Log

  • Application Gateway WAF は、近日中に、すべての Azure リソースのセキュリティを一元的に把握できる Azure Security Center と統合される予定です。Azure Security Center は、ユーザーのサブスクリプションの脆弱性を調査し、検出された問題について推奨される軽減策を提示してくれます。たとえば、WAF で保護していない Web アプリケーションがある場合、脆弱性の 1 つとして検出されます。

WAF - 1 WAF - 2

カスタマイズ

  • Application Gateway WAF は、検出モードと防止モードで実行できます。一般的なユース ケースでは、管理者が検出モードで実行して、悪意のあるトラフィック パターンがないか監視します。脆弱性への攻撃の可能性が検出された場合、防止モードに切り替わり、疑わしい受信トラフィックをブロックします。
  • 攻撃のカテゴリごとに広範に、またはサブカテゴリごとに細かく有効化/無効化して、適用するルールをカスタマイズできます。そのため、管理者が SQL インジェクションやクロス サイト スクリプティング (XSS) などの攻撃をルール グループとして有効化/無効化することができます。また、ルール グループ内の特定のルールのみを有効化/無効化することも可能です。たとえば、プロトコル異常のルール グループは、個々に有効化/無効化できる複数のルールから構成されます。

WAF - 3

オープン ソースの利用

Application Gateway WAF は、最も広く利用されている WAF デプロイメント「OWASP ModSecurity Core Rule Set (英語)」を使用して一般的な Web の脆弱性を保護します。これらのルールは厳格な標準に準拠し、オープン ソース コミュニティによって管理、維持されています。ユーザーは CRS 2.2.9 と CRS 3.0 のどちらかを選択できます。CRS 3.0 からは誤検出が大幅に削減されているため、CRS 3.0 の利用をお勧めします。

まとめと次のステップ

今回の Web Application Firewall の一般提供は、マイクロソフトの Application Gateway の ADC セキュリティ サービスにとって重要な一歩です。マイクロソフトでは引き続き WAF の機能セットを強化してまいります。今すぐ Azure ポータルまたは ARM テンプレートから Application Gateway WAF をお試しください。さらに詳しい情報やドキュメントについては、以下のリンクをご利用ください。